Третья мировая война. Какой она будет
Шрифт:
В 2001 году новая администрация Буша прочувствовала эту проблему на собственной шкуре, когда «червь» Code Red заразил более 300 тысяч компьютеров за несколько часов, а затем превратил их в зомби, запрограммированных на проведение DDoS-атаки на веб-сайт Белого дома. Мне удалось рассредоточить сайт Белого дома на 20 тысячах серверах с помощью компании Akamai, благодаря чему мы избежали тяжких последствий (а также убедили нескольких поставщиков интернет-услуг отвести атакующий трафик). Вылечить зараженные компьютеры оказалось сложнее. Многие компании и индивидуальные пользователи не стремились удалять «червя», несмотря на то что он заражал другие компьютеры. Да и мы не имели возможности заблокировать этим мапщнам доступ в сеть, хотя они и регулярно рассылали вредоносное ПО. В дни, последовавшие за террористической атакой 29 сентября, быстро распространился еще более серьезный «червь» — NIMDA (Admin наоборот). Он был нацелен на компьютеры самой защищенной сферы — финансовой. Несмотря на изощренную защиту, многие банки и компании с Уоллстрит были выкинуты в офлайн.
Потребовались некоторые усилия, чтобы убедить
Моя команда, ничуть этим не обеспокоенная, взяла общенациональный план Клинтона и доработала его на основе данных, полученных от 12 учрежденных нами промышленных групп и граждан из десяти муниципалитетов страны (которые, к счастью, вели себя куда цивилизованнее, чем те, кто в 2009 году собирался в муниципалитете для обсуждения вопросов здравоохранения). В результате появилась Национальная стратегия по безопасности киберпространства, которую Буш подписал в феврале 2003 года. По существу разницы в подходах Клинтона и Буша почти не было, за исключением того, что администрация республиканцев не только продолжила воздерживаться от регулирования, но и питала нескрываемое отвращение к идее введения любых новых регулятивных норм со стороны федерального правительства. Буш долгое время оставлял вакантные места в нескольких регулятивных комиссиях, а позже назначал уполномоченных, которые не стремились укрепить существовавший порядок регулирования.
То, как Буш понимал проблему кибербезопасности и интересовался ею на заре своего президентства, лучше всего характеризует вопрос, который он задал мне в 2002 году. Я зашел в Овальный кабинет с известиями об обнаружении распространявшегося дефекта в программном обеспечении, который мог позволить хакерам сделать все что угодно, если только мы не убедим большинство крупных сетей и корпораций устранить его. Единственной реакцией Буша стал следующий вопрос: «А что думает Джон?» Джон был директором крупной информационнотехнологической компании и главным спонсором избирательной комиссии Буша. После формирования Министерства национальной безопасности я решил, что появлась прекрасная возможность собрать многие разрозненные организации для работы над проблемой и объединить их в один центр. Некоторые отделы по кибербезопасности из Министерства торговли, ФБР и Министерства обороны были переведены в Министерство национальной безопасности. Но целое оказалось значительно меньше частей, поскольку многие из лучших представителей объединенных кабинетов предпочли воспользоваться случаем и уйти из правительства. Когда я вышел из администрации Буша вскоре после того, как они начали иракскую войну, Белый дом не стал искать мне замену на посту специального советника. Министерство национальной безопасности оказал ось самым недееспособным подразделением правительства. Несколько очень хороших людей пытались заставить его заработать, но все они разочаровались и ушли. В СМИ начали говорить о «киберцаре на неделю». Внимание представителей частного сектора к проблеме, которого мы так долго добивались, ослабло.
Четыре года спустя Буш принял решение — гораздо быстрее, чем убеждали меня его подчиненные. Это была секретная акция, которую президент должен был одобрить лично. Составитель президентского графика выделил час на совещание по принятию решения, а оно заняло пять минут. Не было ни одной секретной акции, которая бы не понравилась Бушу. Потом оставшиеся пятьдесят пять минут встречи директор национальной разведки произносил вступительное слово. Все нужные люди — старшие члены кабинета, отвечавшие за безопасность страны, — были на месте. Макконел предложил обсудить угрозу финансовому сектору и всей американской экономике. Получив возможность высказаться, он рассказал о кибервойне и о том, как мы перед ней уязвимы. Особенно уязвим был финансовый сектор, который не смог бы восстановиться после потери данных вследствие атаки, которая нанесла бы невообразимый урон экономике. Потрясенный Буш повернулся к министру финансов Хэнку Паулсону, который согласился с такой оценкой. На этом моменте Буш, сидевший за большим столом в Овальном кабинете, едва ли не взлетел. Он быстро переместился во главу стола и заговорил, яростно жестикулируя: «Информационные технологии всегда считались нашим преимуществом, а не слабостью. Я хочу, чтобы так было всегда. Я хочу план, быстро, очень быстро». Результатом стала CNCI (Всесторонняя национальная программа кибербезопасности) и постановление № 54, посвященное вопросам национальной безопасности. Ни один из этих документов не был опубликован, но в каждом из них предлагался достаточно приемлемый 12-этапный план. Однако основное внимание уделялось защите правительственных сетей. Как ни странно, план не был направлен на решение проблемы, с которой началось обсуждение в Овальном кабинете, — проблемы преодоления уязвимости в кибервойне финансового сектора.
Тем не менее Буш потребовал выделить 50 миллиардов долларов на ближайшие пять лет для разработки всесторонней национальной программы кибербезопасности, которая в итоге не стала ни всесторонней, ни национальной. Эта программа, по словам одного хорошо осведомленного человека, — попытка «остановить кровотечение» из систем Министерства обороны и разведывательного сообщества, которая лишь косвенно затрагивает все остальное. Как бы ее ни превозносили, она не направлена на преодоление уязвимостей частного сектора и наших важнейших инфраструктур. Эта более сложная проблема досталась по наследству следующей администрации.
Предполагалось, что в рамках инициативы будет разработана «стратегия удержания от информационной войны и декларативная доктрина». Реализация этой части плана была почти полностью заморожена. В мае 2008 года комитет по делам вооруженных сил сената раскритиковал секретность этой программы в публичном докладе, отметив, что «сложно представить, как Соединенные Штаты смогут провозгласить убедительную доктрину сдерживания, если каждый аспект наших возможностей и оперативных принципов засекречен». Читая это, я не мог не вспомнить доктора Стрейнджлава, который в фильме Стэнли Кубрика ругал советского посла за то, что Москва хранит в секрете существование мощного средства сдерживания — ядерной „машины судного дня“: «Конечно же, весь смысл «машины судного дня» пропадает, если вы держите ее в секрете! Почему вы не рассказали о ней всему миру?» Вероятно, мы храним в тайне свою стратегию киберсдерживания потому, что она не слишком удачна.
Еще одно уязвимое место финансового сектора возникло вследствие того, что крупнейшие финансисты успешно лоббировали отказ от правительственного регулирования. На нем и пришлось сконцентрироваться Бараку Обаме, когда он стал президентом. Провал субстандартного ипотечного кредитования и сложная ситуация на рынке ценных бумаг спровоцировали жесточайший финансовый кризис со времен 1929 года. Вследствие этого, а также войны в Ираке и Афганистане, угрозы пандемии гриппа, реформы здравоохранения, глобального потепления, которые требовали его внимания, Обама проигнорировал проблему кибербезопасности. Однако он затрагивал эту же тему во время предвыборной кампании 2008 года. Хоть я и согласился принять участие в кампании в качестве эксперта по проблеме терроризма, но использовал эту возможность, чтобы проработать кандидата и его советников на тему кибервойны. Я не удивился, что Обама уловил суть проблемы, поскольку он проводил самую технологически продвинутую, киберзависимую президентскую кампанию в истории. Еще будучи сенатором, Обама летом 2008 года выступил с речью перед экспертами в области кибербезопасности в Университете Пердью. В речи, посвященной проблемам национальной безопасности, он сделал смелое завление, объявив американскую киберинфраструктуру «стратегическими активами», — такая важная фраза в переводе с языка правительства означает — это стоит защищать. Он пообещал назначить в Белом доме старшего советника, который будет отчитываться непосредственно перед ним, и пообещал, что кибербезопасность станет «главным государственным приоритетом». В брошюре, которую мой соавтор Роб Нейк составил вместе с Джоном Мэллери и Роджером Хурвитцем — специалистами по вычислительной технике из Массачусетского технологического института, он пошел еще дальше, раскритиковав администрацию Буша за медлительность перед лицом рисков, связанных с киберпространством, и дал обещание «способствовать разработке безопасных компьютеров и сетей следующего поколения для обеспечения национальной безопасности», больше инвестировать в науку и математическое образование и создать план устранения уязвимых мест, предотвращения хищения информации и корпоративного шпионажа.
Несколько недель спустя Обама столкнулся с очень серьезной киберугрозой. ФБР, не привлекая общего внимания, проинформировало, что есть основания считать, будто китайские хакеры проникли в компьютерные системы участников кампании. Я попросил одного из моих деловых партнеров, Пола Куртца (занимавшегося в Белом доме вопросами кибербезопасности и при Буше, и при Клинтоне), привлечь команду экспертов по кибербезопасности из штаб-квартиры в Чикаго, чтобы оценить масштаб урона и посмотреть, что можно сделать, чтобы обезопасить системы. Китайских хакеров интересовали черновики программных документов. Они использовали достаточно сложные методы под прикрытием благовидной деятельности. Когда к кампании неофициально присоединились специалисты из Чикаго, я попросил всех, кто работает над вопросами национальной безопасности, не использовать домашние компьютеры для этой цели. Несмотря на то что их переписка была несекретной, ею очень интересовался Китай и другие (включая, предположительно, Джона Маккейна, хотя я бы не сказал, что его кампания отличалась глубоким пониманием кибертехнологий). С согласия участников кампании мы раздали всем «чистые» ноутбуки Apple и заблокировали их так, чтобы они могли работать только в пределах виртуальной частной сети, созданной с использованием сервера с совершенно безобидным именем. Я знал, что затруднения возникнут. Вскоре мне стали звонить с жалобами на ограничения: «Дик, я в кафе, и этот чертов компьютер не дает мне подключиться к wifi», «Дик, мне нужно отправить кое-какие файлы из своего ящика, но я не могу выйти в Интернет». Я пытался объяснить, что нам, наверное, не стоит планировать захват Белого дома из кафе, но никого это особенно не убеждало.
Незадолго до инаугурации мы с Полом Куртцем представили новой команде Белого дома проект решения, в котором были сформулированы предложения, озвученные Обамой в речи в Университете Пердью. Мы утверждали, что если Обама будет медлить, кто-нибудь обязательно попытается его остановить. Несмотря на то что многие из аппарата Белого дома понимали проблему и хотели быстрого решения, никто, разумеется, не считал ее первостепенной. Вместо этого администрация Обамы приказала подготовить за 60 дней обзор состояния систем IT — безопасности и попросила одного из составителей бушевской CNCI (Всесторонней национальной программы кибербезопасности) возглавить этот проект. И это несмотря на то, что комиссия по кибербезопасности 44-го президента во главе с Джимом Льюисом уже год пыталась прийти к консенсусу по вопросу, что должен делать следующий президент, и уже опубликовала отчет в декабре 2008 года. Когда 110 дней спустя президент объявил результаты, догадайтесь, что произошло? Вернули CNCI. Военное Киберкомандование осталось, но не было ни стратегии кибервойны, ни плана или программы действий по защите частного сектора, ничего того, что могло инициировать международный диалог по этим проблемам. И — опять дежавю — новый президент от демократов отказался от попыток регулирования: «Позвольте мне сказать с предельной ясностью: моя администрация не будет диктовать стандарты безопасности частным компаниям».